电力工控系统网络入侵和攻击典型模型研究

郭志民,吕　卓,陈　岑

(国网河南省电力公司电力科学研究院，河南 郑州 450052)

0　引言

随着“大云物移”等新技术在电力系统的应用以及智能电网的发展，电力工控系统中大量使用智能设备、嵌入式操作系统和各种专用协议，具有集成度高、行业性强、内核不对外开放、数据交互接口无法进行技术管控等特点[1-2]。传统的安全防护手段(如防火墙、入侵检测、安全漏洞探测、虚拟专用网等技术)在应对黑客攻击的过程中发挥了巨大的作用，但是在层出不穷的网络攻击技术面前，这些传统的安全防御手段显得有些力不从心。对网络入侵行为和网络攻击技术进行充分的了解和透彻的研究是确保电力工控系统网络安全的关键[3]。深入研究其原理、方法和规律，建立入侵和攻击的模型，对于特定应用环境下的重要信息获取以及工控系统应用安全监控具有重要的理论意义和实用价值[4]。

1　现状分析

近年来，网络攻击的方式和方法已经从早期的粗糙、单一的攻击方法发展到今天的复杂、综合的攻击方法。从以口令破解、泛洪式拒绝服务和特洛伊木马为主，发展到当前以网络信息探测、网络漏洞探测、网络欺骗攻击、分布式网络病毒攻击等[5-6]为主。我国已经开始考虑如何有效地开展工控安全的建设，通过与现有的工控安全技术进行有效结合，加强在电力工控安全方面的建设投入。一些省级电力公司已经开始在一些生产环节尝试引入新的方法和思路来构建工业控制系统安全体系，如在系统边界，通过监听等方式结合数据分析平台，制定相关的工控系统安全检测和评估基线，形成一整套针对工控系统的安全预警机制等。但想要从根本上解决电力工控系统网络安全的问题，需要对网络入侵和攻击行为进行建模，结合电力工控系统运行特征，构建特征完善的网络入侵行为特征库，从而更好地实现对于攻击行为的应对，并防患于未然[7-8]。

2　电力工控系统网络入侵和攻击典型模型研究

2.1　电力工控系统网络入侵特征分析

电力工控系统网络入侵研究分为两个方面，一是对电力工控协议典型漏洞，包括协议设计方面的漏洞和协议实现方面的漏洞，研究每类漏洞的利用技术，包括分析每种漏洞可能导致的攻击，以及研究攻击对漏洞的利用机理和可能导致的后续攻击；二是结合业务场景，分析业务所涉及的工控协议类型，结合工控协议漏洞，研究工控协议漏洞风险以及利用漏洞产生攻击对业务系统造成的影响。

图1　电力工控协议漏洞利用研究步骤

图2　业务系统协议漏洞分布及攻击路径图

2.1.1工控协议漏洞利用技术研究

工控协议漏洞包括了协议设计方面的漏洞和协议实现方面的漏洞，因此，对漏洞利用技术的研究可以从这两个方面进行展开。

(1)工控协议设计方面漏洞利用技术研究

协议设计方面的漏洞主要是由于在传输规约设计之初，设计者未考虑或者很少考虑信息安全防护措施，在协议设计中未设计相应的安全机制。目前协议安全机制主要有完整性保护机制、机密性保护机制、身份认证机制，因此，工控协议安全设计方面的漏洞主要包括完整性保护缺失、机密性保护缺失、身份认证缺失三类。协议设计方面的漏洞将导致对业务数据采集和传输过程中的恶意篡改，对关键系统控制指令报文的仿造，针对规约实现漏洞构造的非法格式报文，以及基于重放技术的拒绝服务攻击。

(2)工控协议实现方面漏洞利用技术研究

工控协议实现方面的漏洞主要是指协议代码编写实现中造成的漏洞。工控协议实现过程中潜在的漏洞会导致针对工控系统主站和智能终端的攻击(异常)。基于协议实现方面的漏洞，一般是由于代码的逻辑错误或含有漏洞的底层函数导致。工控协议安全实现方面的漏洞主要包括存储区域检查缺失、字段值范围检查缺失、特殊字符检查缺失、针对正常请求的限制缺失、针对错误请求的限制缺失五大类。协议实现方面的漏洞将导致对业务数据采集和传输过程中的恶意篡改，对关键系统控制指令报文的仿造，针对主站的权限提升，针对智能终端的超级权限获取，以及基于资源耗尽型的拒绝服务攻击等。

2.1.2工控协议漏洞攻击路径分析

针对电力工控业务系统，首先，分析具体工控业务系统的工控协议应用和协议漏洞分布情况，以及利用工控协议漏洞在业务系统中可能导致的攻击路径。然后，结合工控协议承载的业务指令数据，分析攻击对工控业务系统造成的影响。

工控系统一般由主站层、网络通道层、终端层组成。主站层包含业务自动化系统、通信系统、对时系统等子系统，主站层功能高度集成，可在一台计算机或嵌入式装置实现，也可分布在多台计算机或嵌入式装置中。网络通道层，主要包含多种不同网络传输通道，采用各种工控传输协议。终端层主要包含各种工控现场智能终端设备，譬如智能变电站的智能设备、合并单元和智能终端等。

电力工业系统中，现场层及过程控制层通信的方式以及采用协议，根据应用领域及实际条件的不同会有较大差别，因此对电力工控业务系统协议漏洞分布及攻击路径的分析要结合每个具体的业务系统开展研究，通用的业务系统协议漏洞分布及攻击路径分析方法见图2，根据业务系统工控协议漏洞分布情况，以及前面协议漏洞利用技术的研究成果，分析具体业务系统可能遭受的攻击以及攻击路径。

攻击路径的分析：网络攻击路径是对引起网络系统状态变迁的攻击序列的一种描述，体现了网络状态和攻击动作之间的依赖关系。网络攻击路径的早期发现能够帮助网络安全人员有针对性地提高网络安全性，成为网络安全评估系统中的重要环节。

通过对业务系统漏洞分布及攻击路径分析，在此基础上，进一步研究业务系统协议承载的业务指令及业务逻辑，分析由协议漏洞导致的攻击对工控系统的影响。

主站系统主要是各种电力工控业务系统，实现面向全站或一个以上一次设备的测量和控制功能，完成数据采集和监视控制(SCADA)等相关功能。攻击对站控层的影响主要是攻击导致的业务系统宕机。终端层主要是各种现场智能终端设备，完成电能分配、变换、传输及其测量、控制、保护、计量、状态监测等相关功能。攻击对终端层的影响集中于对智能终端设备的恶意操作上。

2.2　电力工控系统攻击模型研究

在对电力工控系统攻击特征进行分类整理的基础上，需要构建电力工控系统的攻击模型，为攻击验证平台对攻击过程进行模拟验证提供基础数据。本文采用面向对象的方法来构建攻击模型，引入具体攻击行为、安全状态、代码实例和安全漏洞等对象类来描述攻击过程。攻击行为之间可以有关联关系。对引入的对象类描述如下：

(1)具体攻击行为：具体攻击行为描述的是攻击者完成一个攻击步骤所进行的操作，可以抽象为对目标建立连接并发送攻击数据包。

(2)攻击特征：在攻击行为发生时表现出来的系统/数据特征，包括网络流量异常、安全事件报警、网络数据包和主机日志等。

(3)安全状态：安全状态包含被攻击目标的状态和攻击者的状态，如攻击者当前的起始权限，这是作为攻击行为的前提条件。攻击行为发生后，安全状态改变，作为攻击行为的后果。

(4)代码实例：代码实例作为具体攻击行为的实现将能够被攻击过程的模拟平台在攻击过程中直接调用。

(5)安全漏洞：安全漏洞对攻击行为所依附的漏洞宿主进行描述，包括漏洞宿主的软硬件、操作系统和网络应用。

(6)攻击行为间关联关系：为了对攻击过程进行模拟，攻击样本库需要对攻击行为间的前后依赖关系进行描述，以便正确刻画攻击者在某个步骤所能够选择的攻击手段。

攻击样本模型构建的结构如图3所示。

图3　攻击样本库的体系构架

3　结束语

电力工控系统研究的总体目标是在工控系统与信息系统融合发展趋势下，针对控制系统与互联网技术的深度融合引发的工业控制系统网络安全新的重大挑战，系统性地从理论模型、关键技术、装备研制及测试评估等方面开展工业控制系统深度安全技术研究，把握工控系统攻击机理和工程特征，研制具有主动防护能力的工控系统，提高工控系统内核及应用安全性，并最终形成工控系统深度安全防护整体解决方案。本文在工控入侵与攻击模型方面的研究工作，针对工控系统的特性，着力突破工控网络空间安全基础理论和关键技术，建立工控系统网络入侵与攻击模型，深入理解已知和未知工控系统攻击的机理和工程特征，提高网络系统应对复杂网络环境下各种突发网络攻击事件的能力。

[1] 谢彬，贺志强，汤放鸣，等.工控设备的安全保密风险评估实践[J].信息安全与技术，2014(9)：21-24.

[2] 李战宝,潘卓.透视“震网”病毒[J].信息网络安全,2011(9):230-232.

[3] 张帅.工业控制系统安全风险分析[J].信息安全与通信保密,2012(3)：15-19.

[4] 王华忠.监控与数椐采集(SCADA)系统及其应用[M].北京：电子工业出版社,2010.

[5] 彭勇，江常青，谢丰,等.工业控制系统信息安全研究进展[J].清华大学学报(自然科学版)，2012,52(10)：1396-1408.

[6] 邢栩嘉，林闯，蒋屹新.计算机系统脆弱性评估研究[J].计算机学报,2004,27(1):1-11.

[7] 蔡晓莲，李平.计算机网络安全威胁及防范策略的探讨.网络与信息，2009(6):30-31.

[8] 刘威，李冬，孙波.工业控制系统安全分析[J].信息网络安全.